Aktor ancaman yang dikenal sebagai Werewolf lengket telah dikaitkan dengan serangan yang ditargetkan terutama di Rusia dan Belarus dengan tujuan memberikan malware pencuri Lumma melalui implan yang sebelumnya tidak berdokumen.
Perusahaan cybersecurity Kaspersky melacak aktivitas dengan nama Angry Likho, yang katanya memiliki “kemiripan yang kuat” untuk membangkitkan Likho (alias Core Werewolf, Gamacopy, dan Pseudogamaredon).
“Namun, serangan Angry Likho cenderung ditargetkan, dengan infrastruktur yang lebih ringkas, beragam implan terbatas, dan fokus pada karyawan organisasi besar, termasuk lembaga pemerintah dan kontraktor mereka,” kata perusahaan Rusia.
Diduga bahwa para aktor ancaman kemungkinan adalah penutur asli Rusia mengingat penggunaan Rusia yang fasih dalam file umpan yang digunakan untuk memicu rantai infeksi. Bulan lalu, perusahaan cybersecurity F6 (sebelumnya FACCT) menggambarkannya sebagai “kelompok cyberspy pro-Ukraina.”
Para penyerang telah ditemukan terutama untuk melampaui organisasi di Rusia dan Belarus, dengan ratusan korban yang diidentifikasi di yang sebelumnya.
Kegiatan intrusi sebelumnya yang terkait dengan kelompok ini telah memanfaatkan email phishing sebagai saluran untuk mendistribusikan berbagai keluarga malware seperti NetWire, Rhadamanthys, Ozon Rat, dan backdoor yang dikenal sebagai Darktrack, yang terakhir diluncurkan melalui loader bernama Ande Loader.
Urutan serangan melibatkan penggunaan email spear-phishing yang bertuliskan lampiran yang terjebak booby (misalnya, file arsip), di mana ada dua file shortcut windows (LNK) dan dokumen umpan yang sah.
File arsip bertanggung jawab untuk memajukan aktivitas berbahaya ke tahap berikutnya, melepaskan proses multi-tahap yang kompleks untuk menggunakan pencuri informasi Lumma.
“Implan ini dibuat menggunakan penginstal sumber terbuka yang sah, sistem instalasi nullsoft skrip, dan berfungsi sebagai arsip pengekspresikan diri (SFX),” kata Kaspersky.
Serangan telah diamati menggabungkan langkah -langkah untuk menghindari deteksi oleh vendor keamanan dengan menggunakan cek untuk emulator dan lingkungan kotak pasir, menyebabkan malware mengakhiri atau melanjutkan setelah penundaan 10.000 ms, teknik yang juga terlihat pada implan Likho yang terbangun.
Tumpang tindih ini telah meningkatkan kemungkinan bahwa para penyerang di balik kedua kampanye berbagi teknologi yang sama atau kemungkinan kelompok yang sama menggunakan serangkaian alat yang berbeda untuk target dan tugas yang berbeda.
Lumma Stealer dirancang untuk mengumpulkan sistem dan menginstal informasi perangkat lunak dari perangkat yang dikompromikan, serta data sensitif seperti cookie, nama pengguna, kata sandi, nomor kartu perbankan, dan log koneksi. Ini juga mampu mencuri data dari berbagai browser web, dompet cryptocurrency, ekstensi browser cryptowallet (Metamask), autentikator, dan dari aplikasi AnyDesk dan Keepass.
“Serangan terbaru grup menggunakan Lumma Stealer, yang mengumpulkan sejumlah besar data dari perangkat yang terinfeksi, termasuk rincian perbankan yang disimpan oleh browser dan file cryptowallet,” kata Kaspersky.
“Kelompok ini bergantung pada utilitas berbahaya yang tersedia yang diperoleh dari forum Darknet, daripada mengembangkan alat -alatnya sendiri. Satu -satunya pekerjaan yang mereka lakukan sendiri adalah menulis mekanisme pengiriman malware ke perangkat korban dan membuat email phishing yang ditargetkan.”
